Twilio ยืนยันแฮ็กเกอร์ทำข้อมูลหมายเลขโทรศัพท์ผู้ใช้ Authy 33 ล้านรายรั่วไหล

 (securityweek.com)
3 คะแนน โดย GN⁺ 2024-07-05 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • กลุ่มแฮ็กเกอร์ ShinyHunters ที่มีชื่อเสียงในทางฉาวประกาศบนเว็บไซต์ BreachForums ว่าจะปล่อยข้อมูลหมายเลขโทรศัพท์แบบสุ่ม 33 ล้านหมายเลขที่เกี่ยวข้องกับ Authy แอป 2FA ของ Twilio
  • ข้อมูลที่รั่วไหลยังรวมถึง ID บัญชีและข้อมูลที่ไม่ใช่ข้อมูลส่วนบุคคลบางส่วน
  • Twilio โพสต์คำเตือนด้านความปลอดภัยบนเว็บไซต์เพื่อยืนยันเหตุข้อมูลรั่วไหลดังกล่าว
  • บริษัทระบุว่า "Twilio ตรวจพบผู้ไม่หวังดีที่สามารถระบุข้อมูลที่เกี่ยวข้องกับบัญชี Authy ได้ผ่าน endpoint ที่ไม่ได้ยืนยันตัวตน เราได้ดำเนินมาตรการเพื่อปกป้อง endpoint นี้แล้ว และจะไม่อนุญาตคำขอที่ไม่ได้ยืนยันตัวตนอีกต่อไป"
  • Twilio ระบุว่าไม่พบหลักฐานว่าแฮ็กเกอร์เข้าถึงระบบหรือได้ข้อมูลอ่อนไหวอื่นไป แต่เพื่อความไม่ประมาท บริษัทแนะนำให้ผู้ใช้ Authy ติดตั้งอัปเดตความปลอดภัยล่าสุดของ Android และ iOS
  • Twilio กล่าวว่า "แม้บัญชี Authy จะไม่ได้ถูกเจาะ แต่ผู้ไม่หวังดีอาจใช้หมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี Authy ในการโจมตีแบบ phishing และ smishing ได้ ดังนั้นเราขอแนะนำให้ผู้ใช้ Authy ทุกคนเพิ่มความระมัดระวังและเฝ้าระวังข้อความที่ได้รับ"

ความเห็นจาก GN⁺

  • เหตุข้อมูลรั่วไหลของ Twilio เน้นย้ำถึงความสำคัญของ endpoint ที่ไม่ได้ยืนยันตัวตน และแสดงให้เห็นว่าการดูแล endpoint ให้ปลอดภัยมีความสำคัญเพียงใด
  • ผู้ใช้ Authy ควรเพิ่มความระมัดระวังต่อการโจมตีแบบ phishing และ smishing เนื่องจากการรั่วไหลของหมายเลขโทรศัพท์อาจทำให้การโจมตีลักษณะนี้เพิ่มขึ้น
  • แม้ Twilio จะตอบสนองอย่างรวดเร็วและปกป้อง endpoint ได้แล้ว แต่บริษัทอื่นก็ควรเตรียมพร้อมรับมือกับสถานการณ์ลักษณะเดียวกัน มาตรการเชิงป้องกันมีความสำคัญ
  • กิจกรรมของกลุ่มแฮ็กเกอร์อย่าง ShinyHunters ยังคงเพิ่มขึ้นอย่างต่อเนื่อง บริษัทต่าง ๆ ควรตรวจสอบและเสริมความแข็งแกร่งด้านความปลอดภัยอย่างสม่ำเสมอ
  • แอปความปลอดภัยอื่นที่มีฟังก์ชันคล้ายกัน ได้แก่ Google Authenticator และ Microsoft Authenticator โดยผู้ใช้สามารถพิจารณาตัวเลือกที่หลากหลายได้

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
carnoxen 2024-07-12

https://gist.github.com/gboudreau/94bb0c11a6209c82418d01a59d958c93

วิธีดึงข้อมูลภายใน Authy
 
GN⁺ 2024-07-05
ความเห็นจาก Hacker News

  • หมายเลขโทรศัพท์ของฉันหลุดไปอยู่ในข้อมูลรั่วไหลหลายครั้งจนสแปมเพิ่มขึ้นมาก

    • เครือข่ายโทรศัพท์แบบดั้งเดิมอาจเสี่ยงหายไปเหมือนแฟกซ์เพราะปัญหาสแปม
    • แม้แต่การคุยกับครอบครัวก็ใช้ FaceTime, Zoom, Meet ฯลฯ
    • จำไม่ได้แล้วว่าครั้งล่าสุดที่มีสายโทรศัพท์ปกติที่ถูกกฎหมายผ่านเครือข่ายโทรศัพท์แบบดั้งเดิมคือเมื่อไร
    • ถ้าแพลตฟอร์มเหล่านี้ยึดตลาดได้หมด ก็อาจเริ่มใส่โฆษณา
    • ดูได้จากกรณีที่ Gmail สร้างรายได้จากอีเมล

  • การที่ Authy ขอทั้งหมายเลขโทรศัพท์มือถือและอีเมลนั้นไม่สมเหตุสมผล

    • ไม่ต้องการการซิงก์ผ่านคลาวด์หรือการสำรองข้อมูล
    • การเก็บข้อมูลผู้ใช้ไว้บนคลาวด์อาจกลายเป็นเป้าหมายของการโจมตี
    • สิ่งนี้ขัดกับเจตนารมณ์ของ 2FA

  • Twilio บังคับให้ใช้ Authy สำหรับ 2FA ของ SendGrid และ Twilio เอง

    • ไม่รองรับ 2FA แบบมาตรฐาน จึงใช้กับ 1Password ไม่ได้
    • ถูกบังคับให้ใช้ Authy แต่ก็ยังเกิดปัญหาอยู่ดี
    • Twilio ไม่ควรยัดเยียดโซลูชันแบบกำหนดเองให้ผู้ใช้

  • ไม่พอใจที่หลายองค์กรและบริษัทขอข้อมูลส่วนตัวตั้งแต่การติดต่อครั้งแรก

    • แม้แต่ผู้ให้บริการทางการแพทย์ก็ยังส่งข้อมูลลูกค้าทางอีเมลแบบข้อความล้วน
    • ยังอ้างอีกว่าตนมีลิขสิทธิ์เหนือเอกสารที่ใช้แจ้งผลทางการแพทย์
    • ผู้คนให้คะแนนบริการเหล่านี้สูง แต่จริง ๆ แล้วไม่ได้อ่านข้อกำหนดการใช้งาน

  • เคยพบช่องโหว่การเปิดเผยข้อมูลใน endpoint สำหรับลงทะเบียนผู้ใช้

    • จากหมายเลขโทรศัพท์ของผู้ใช้ Authy สามารถค้นหาหมายเลขอื่น อุปกรณ์ ไทม์สแตมป์ อีเมลแอดเดรส ฯลฯ ได้
    • ใช้เวลาถึง 2 ปีกว่าจะแก้ปัญหานี้

  • ใช้แอป iOS ของ Authy เพื่อสร้างโทเค็น 2FA แต่จำไม่ได้ว่าเคยกรอกหมายเลขโทรศัพท์

    • กำลังตรวจสอบว่าเป็นปัญหาของตัวแอปไคลเอนต์บน iOS เอง หรือมีผลเฉพาะกับผู้ใช้ที่สร้างบัญชีออนไลน์เท่านั้น

  • Twilio สามารถระบุข้อมูลที่เชื่อมโยงกับบัญชี Authy ได้เพราะมี endpoint ที่ไม่ต้องยืนยันตัวตน

    • ตอนนี้ได้เพิ่มมาตรการความปลอดภัยให้ endpoint นี้แล้ว และจะไม่ยอมรับคำขอที่ไม่ผ่านการยืนยันตัวตนอีก
    • ถ้าอยากหลีกเลี่ยงปัญหาแบบนี้ในแอปของตัวเอง ควรบังคับให้ทุกคำขอต้องยืนยันตัวตน และใช้ row-level security
    • สามารถใช้เฟรมเวิร์กทดสอบเพื่อตรวจจับปัญหาแบบนี้ได้

  • ถ้าไม่ได้ใช้สคีมการยืนยันตัวตนแบบคัสตอมของ Authy ตอนนี้คือเวลาที่ควรส่งออกข้อมูล

    • ส่งออก raw totp token ได้จากเวอร์ชันเดสก์ท็อปเท่านั้น
    • หลังจากโหลดโทเค็นเข้าแอปเดสก์ท็อปแล้ว ต้องดาวน์เกรดเป็นเวอร์ชันเก่าเพื่อรันฟังก์ชัน JavaScript

  • บน iPhone หากเปิดโหมดห้ามรบกวน สายทั้งหมดจะถูกส่งไปยังวอยซ์เมล

    • จะมีเสียงเรียกเฉพาะสายซ้ำจากผู้ติดต่อฉุกเฉิน รายการโปรด หรือคนใน 1by1 Focus เท่านั้น
    • บน Android การตั้งค่าแบบเดียวกันใช้ไม่ได้ผลเหมือนกัน
    • ถ้าย้ายหมายเลขไปที่ Google Voice หรือ Fi ก็สามารถกรองสายสแปมได้

  • สร้าง ente.io/auth ขึ้นมา

    • ถ้าต้องการแอปยืนยันตัวตนแบบข้ามแพลตฟอร์ม ลองดูได้
    • เป็น FOSS และมีการสำรองข้อมูล e2ee แบบเลือกใช้ได้